Kelompok ancaman RomCom secara aktif menggunakan versi trojan dari produk perangkat lunak populer, termasuk SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager, dan PDF Reader Pro, untuk menargetkan berbagai negara berbahasa Inggris — terutama Inggris — dengan Trojan akses jarak jauh ( TIKUS). Ini adalah perubahan dalam taktik, teknik, dan prosedur menuju ancaman persisten tingkat lanjut (APT).
Selama analisis kampanye RAT RomCom sebelumnya melawan militer Ukraina yang menggunakan perangkat lunak Advanced IP Scanner palsu untuk mengirimkan malware, tim riset ancaman dan intelijen di BlackBerry menemukan informasi tambahan yang lebih banyak lagi. kampanye yang meluas sedang dilakukan di geolokasi lain. Para peneliti menentukan bahwa Inggris dan negara-negara berbahasa Inggris lainnya adalah negara-negara berbahasa Inggris target RomCom baru berdasarkan analisis persyaratan layanan dan sertifikat SSL dari server perintah-dan-kontrol baru, yang terdaftar di Inggris.
Dmitry Bestuzhev, peneliti ancaman terkemuka di BlackBerry, mengatakan kepada Dark Reading bahwa Inggris kini sebenarnya adalah salah satu target RomCom terbesar, berdasarkan analisis Blackberry.
“Hal ini dapat diprediksi, karena AS dan Inggris merupakan pendukung paling aktif Ukraina dalam perang dengan Rusia,” kata Bestuzhev.
Setelah dijatuhkan, RomCom RAT dirancang untuk menyaring data sensitif atau kata sandi apa pun.
“Informasi sangat berharga, dan jika bersifat strategis, informasi tersebut membantu penyerang membangun strategi ofensif yang lebih baik dan memanfaatkan domain apa pun,” tambah Bestuzhev. “Geopolitik akan menetapkan target baru. Karena RomCom telah terekspos secara luas, masuk akal untuk percaya bahwa kelompok di baliknya mungkin mengubah TTP mereka.”
Ini bukan perubahan pertama dalam strategi grup ini. “Ketika RomCom ditemukan, hal itu secara publik dikaitkan dengan ransomware,” kata Bestuzhev. “Kampanye terbaru membuktikan bahwa motivasi pelaku ancaman ini bukanlah uang. Ada agenda geopolitik yang menentukan target baru.”
Bungkus RomCom RAT
Skema trojanisasi tidak terlalu rumit, tim BlackBerry menjelaskan dalam laporannya.
RomCom mengambil kode dari vendor perangkat lunak yang ingin digunakan APT, mendaftarkan domain jahat yang mungkin menipu pengguna dengan taktik kesalahan ketik atau taktik serupa, melakukan trojan pada aplikasi sebenarnya, dan kemudian mengunggah malware ke situs palsu. Ia kemudian mengirimkan umpan phishing ke target yang dituju melalui berbagai saluran, dan boom — target disusupi.
Pendekatan pembungkusan bukanlah hal baru, Andrew Barratt, wakil presiden Coalfire, mengatakan kepada Dark Reading; APT lain dan grup seperti FIN7 telah menggunakan taktik serupa.
“Serangan ini sepertinya merupakan peniruan langsung dari beberapa serangan yang kami selidiki selama pandemi, di mana kami melihat sejumlah alat pendukung produk vendor ditiru atau 'dibungkus' dengan malware,” kata Barratt. “Proses 'pembungkusan' berarti bahwa alat sah yang mendasarinya masih diterapkan, namun sebagai bagian dari penerapan tersebut, beberapa malware dimasukkan ke dalam lingkungan target.”
RomCom Menargetkan Manusia
Untuk bertahan dari serangan RomCom, Mike Parkin, insinyur teknis senior di Vulcan Cyber, merekomendasikan untuk melupakan aspek spionase negara dalam kampanye tersebut dan alih-alih berfokus pada rekayasa sosial dan target sebenarnya — individu.
“Dengan situasi geopolitik saat ini, kemungkinan besar ada keterlibatan negara di balik layar. Namun pada intinya, ini adalah serangan terhadap sasaran manusia,” jelas Parkin kepada Dark Reading. “Mereka terutama mengandalkan korban yang direkayasa secara sosial melalui email untuk membuka situs jahat yang menyamar sebagai situs sah. Itu menjadikan penggunanya sebagai garis pertahanan pertama, serta permukaan serangan utama.”
